Proteja o WordPress: renomeie a pasta de plugins
English version: Get WordPress protected: rename the plugins folder
Dar um novo nome à pasta de plugins é uma das maneiras mais subestimadas de tornar sua proteção WordPress mais forte. E ainda assim é grátis e fácil.
Por que é importante e como funciona
De acordo com nossos estudos no Cerber Lab, a maioria dos ataques de hackers e tentativas de explorar vulnerabilidades de plugins assumem que todos os plugins do WordPress estão localizados na pasta padrão para todos os plugins, que é /wp-content/plugins/ . Felizmente, o nome desta pasta pode ser facilmente alterado para o que você quiser em literalmente duas etapas simples. Isso significa que os cibercriminosos não têm conhecimento algum sobre a capacidade de renomear a pasta e atacar cegamente o local padrão do plugin? Não, nem sempre, mas a grande maioria dos sites com WordPress usa a estrutura de pasta padrão , e é por isso que os cibercriminosos exploram essa fraqueza com facilidade.
Nossas análises mostram que a maioria dos sites é hackeada explorando uma vulnerabilidade em um plugin desatualizado e, na maioria dos casos, o invasor usa a vulnerabilidade no arquivo PHP localizado na pasta padrão de plugins do WordPress.
Dica: use o scanner de malware Cerber para encontrar uma vulnerabilidade em plugins instalados .
Como renomear a pasta de plugins do WordPress
Primeiro de tudo, você precisa ter acesso aos arquivos no seu site por meio do painel de controle da sua hospedagem, que geralmente tem um gerenciador de arquivos. Alternativamente, você pode usar um cliente FTP.
O primeiro passo é renomear a pasta de plugins do WordPress existente para qualquer nome que você quiser. Vamos supor que usamos o nome dos módulos . Observe que o nome da pasta de plugins deve conter apenas caracteres ASCII. Simplesmente coloque "use apenas letras do alfabeto latino".
O segundo passo é adicionar duas diretivas define ao arquivo wp-config.php que ajudam o WordPress a reconhecer e usar o novo nome da pasta de plugins. Você não pode usar um editor de arquivo integrado no painel de administração do WordPress neste passo. Use um editor de arquivo de dentro do seu painel de controle de hospedagem ou um cliente FTP para editar o arquivo wp-config.php. Veja um exemplo abaixo e observe:
- Você precisa adicionar diretivas no início do arquivo na próxima linha após <?php .
- Você tem que usar seu caminho completo para seu diretório de plugins para WP_PLUGIN_DIR. Dica: Você pode encontrar o caminho completo para a pasta de plugins padrão na página de administração Tools / Diagnostic. Ele é mostrado na seção Filesystem na linha "WordPress plugins folder".
- Sem barras finais.
<?php
define('WP_PLUGIN_DIR', '/caminho/completo/para/os/módulos/wp-content');
define('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
A constante WP_PLUGIN_DIR define o caminho completo, sem barra final, para a pasta de plugins renomeada .
A constante WP_PLUGIN_URL define a URL sem barra final da sua pasta de plugins renomeada .
Após concluir essas duas etapas, você adiciona uma camada de segurança adicional ao seu WordPress. Outro mecanismo de segurança que você deve considerar é habilitar varreduras programadas de malware .
Possíveis problemas e solução de problemas
O site não está carregando e mostrando erros. Isso geralmente significa que você cometeu um erro de digitação no nome da pasta. Verifique cuidadosamente as definições que você adicionou a wp-config.php, o caminho completo e a URL que você especificou. Você tem que especificar o caminho e a URL do seu site. Não os copie do exemplo acima e não tente renomear a pasta do plugin ou editar o arquivo wp-config.php de dentro do painel do WordPress.
Alguns recursos pararam de funcionar. Você tem um plugin mal projetado ou desatualizado instalado no site. A melhor coisa que você pode fazer é se livrar dele. Não há desculpas para um desenvolvimento de plugin ruim. Um desenvolvedor de plugin deve obedecer aos padrões de codificação do WordPress.
Como restaurar o nome padrão da pasta de plugins
- Remova todas as linhas com as diretivas WP_PLUGIN_DIR e WP_PLUGIN_URL do arquivo wp-config.php
- O nome padrão da pasta onde os plugins do WordPress residem é plugins , então renomeie a pasta do plugin de volta para plugins
Próximos passos que fortalecerão a segurança do seu WordPress
WordPress 5.4.1. Uma atualização de segurança corrige sete vulnerabilidades XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.